Jotinhas

Proteção de dados

Nova resolução da ANPD estabelece patamar mínimo de exigências da LGPD

Regulamentação simplifica regras de tratamento de dados para agentes de pequeno porte, como microempresas e startups

Foto: Pixabay

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta sexta-feira (28/1), regulamentação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte – como micro e pequenas empresas, startups e organizações sem fins lucrativos. As regras valem para esse grupo, mas alguns dos entendimentos dão pistas sobre como a ANPD deve se comportar em relação a temas, como a classificação de atividade de alto risco.

Com a Resolução 2/2022, o órgão cumpre disposição da LGPD de criar tratamento jurídico diferenciado para que empresas pequenas e negócios inovadores se adequem à legislação.

Entre as obrigações suavizadas, há a possibilidade de cumprir de forma simplificada, a partir de modelo disponibilizado, a exigência de elaboração e manutenção de registro das operações de tratamento de dados pessoais; também não serão obrigados a indicar o encarregado pelo tratamento de dados pessoais, como prevê a LGPD; e poderão estabelecer política simplificada de segurança da informação, que leve em conta custos de implementação e volume de operações.

Além disso, eles terão prazo em dobro para atender solicitações dos titulares sobre o tratamento de seus dados pessoais e para comunicar a ocorrência de incidente de segurança que não tiver risco de comprometer a integridade dos titulares ou a segurança nacional.

Ficam excluídas da simplificação organizações que, mesmo sendo economicamente de pequeno porte, façam tratamento de dados pessoais de alto risco. Para delimitar o que se enquadraria nesse patamar, a regulamentação estabelece que a atividade se enquadraria em ao menos um critério geral – se há tratamento de dados em larga escala ou de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Ao mesmo tempo, precisaria atender a um critério específico de uma lista que inclui vigilância ou controle de zonas acessíveis ao público, utilização de dados pessoais sensíveis, decisões tomadas com base em tratamento automatizado, entre outros.

“Na definição de alto risco, ainda conseguimos ver situações que poderiam dar ‘falso positivo’, ao enquadrar como alto risco algo simples, especialmente se o mesmo entendimento for usado em outras regulamentações”, avalia Marcela Mattiuzzo, especialista em Direito Digital sócia do escritório VMCA, em São Paulo.

“Seria o caso, por exemplo, do tratamento de dados em larga escala em que constam apenas nomes, mas de adolescentes. Imagine um caso em que se quer observar a prevalência de Covid-19 nessa população por organizações, o que não daria para pensar como sendo de alto risco”, explica.

Ao estabelecer critérios mínimos para os agentes que terão tratamento especial, também é possível compreender a partir de qual nível de exigência a autoridade deve atuar em relação ao mercado como um todo.

A ANPD diz que, no futuro, poderá disponibilizar guias e orientações com boas práticas para auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.